Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

MFA Hardware Token lassen sich nicht benutzen

Hallo zusammen,

wir nutzen zwei XG210 (SFOS 19.0.1 MR-1) und ich komme mit der MFA nicht weiter

Vorab: Einrichtung der MFA für user mit QR code und Sophos Authenticator App funktioniert problemlos und auf anhieb.

Allerdings gibt es auch den Fall, dass User kein Firmensmartphone mit der App haben und auch nicht wollen, das sie diese Software auf ihrem Privatsmartphone installieren wollen (zwingen kann man sie ja nicht). Daher die Idee mit dem Hardware OTP Token.

Ich habe testweise FEITIAN i34 C200 TOTP (SHA256 / 60sec) besorgt.

Einrichtung:

Ich gehe auf

CONFIGURE - AUTHENTICATION - Multi-factor authentication 

Dort klicke ich auf "Add token (for hardware tokens), gebe das Secret, was ich vom Vendor der TOTP Token erhalten habe, ein. Dazu weise ich den token einem User zu. 

Problem:

Ich kann mich mit dem User nicht via Sophos Connect oder im Webport anmelden. Auch der "Synchronize token time offset" schlägt fehl. Wie komme ich hier weiter? Oder gibt es zertifizierte TOTP token, die garantiert funktionieren?

Danke und Gruß



Added TAGs
[edited by: Erick Jan at 1:17 PM (GMT -7) on 9 Jun 2023]
Parents
  • Hallo Janek,

    hast du auch die Zeitschritte auf 60sec gestellt?
    Das steht per default auf 30sec


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Reply
  • Hallo Janek,

    hast du auch die Zeitschritte auf 60sec gestellt?
    Das steht per default auf 30sec


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Children
  • Hallo Dirk, ja habe ich, sowohl den Default token timestep von 30 auf 60 als auch den beim Token direkt. Des Weiteren habe ich auch mit den verification code offset (steps 0-10) und den initial verification code offset herumgespielt, keine Wirkung. Leider

  • hast du auch 256Bit gewählt?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • ... na so ein Mist. Das kann man gar nicht mehr wählen.

    Standard sind 128Bit ... die etwas besseren mit 256Bit gibt es auf Sonderwunsch. Die haben wir bei der SG oft verwendet. 

    Dann sind aktuell scheinbar nur 128 Bit Token möglich.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.